会社を設立して問い合わせフォーム、EC、採用、顧客管理を始めると、個人情報を扱う場面が出てきます。小さな会社でも、個人情報の利用目的や保管方法を曖昧にしたまま運用すると、信頼や法務リスクに影響します。この記事では、設立後に整えたい個人情報管理とプライバシーポリシーの基本を整理します。
個人情報を扱う場面
会社設立直後でも、問い合わせ、見積依頼、EC注文、採用応募、メールマガジン、セミナー申込などで個人情報を取得することがあります。まず自社がどこで個人情報を取得しているかを洗い出します。
氏名、住所、電話番号、メールアドレス、勤務先、決済情報、履歴書、問い合わせ内容などが関係します。個人情報を取得していることに気づかず、外部フォームやスプレッドシートに保存しているケースもあるため、運用実態を確認します。
利用目的を特定する
個人情報保護委員会のガイドラインでは、個人情報を取り扱うに当たっては利用目的をできる限り具体的に特定する必要がある旨が示されています。抽象的な表現だけでは不十分になることがあります。
問い合わせ対応、商品の発送、請求、採用選考、メール配信、サービス改善など、利用目的を分けて整理します。取得時に本人が合理的に想定できる程度に具体的にすることが大切です。
プライバシーポリシーを整える
ウェブサイトやサービスで個人情報を取得する場合は、プライバシーポリシーを整えます。利用目的、取得する情報、第三者提供、委託、開示請求、問い合わせ窓口を整理します。
ひな形をそのまま使うと、自社で行っていない利用や、実際には行っている外部サービス利用が反映されないことがあります。アクセス解析、広告、決済、メール配信、採用管理など、利用している外部サービスも確認します。
安全管理を確認する
個人情報は、取得するだけでなく安全に管理する必要があります。アクセス権限、パスワード、共有範囲、端末管理、外部サービスの権限を確認します。
従業員や外注先が個人情報を見る場合は、必要な範囲に限定します。退職者や契約終了した外注先のアカウントを残さないことも重要です。漏えい時の連絡先や対応手順も決めておきます。
第三者提供と委託を分ける
個人情報を外部に渡す場合は、第三者提供なのか、業務委託なのかを整理します。決済会社、配送会社、メール配信サービス、クラウドサービスなどを使う場合も確認します。
第三者提供には本人同意や記録などが関係することがあります。委託の場合でも、委託先の管理が必要です。自社のサービス内容によって扱いが変わるため、個人情報保護委員会のガイドラインや弁護士に確認します。
設立後チェック
個人情報管理は、大きな会社だけの問題ではありません。最初に小さくルールを作っておくと、事業拡大後も管理しやすくなります。
| 確認項目 | 見るポイント |
|---|---|
| 取得場面 | 問い合わせ、EC、採用、配信 |
| 利用目的 | 具体的に特定しているか |
| 公表 | プライバシーポリシーを整えているか |
| 管理 | 権限、保存先、パスワード |
| 外部提供 | 第三者提供と委託の区別 |